如何解决扫描 Rails 应用程序的代码以查找 SQL 注入漏洞? 我的尝试问题
如何扫描 Rails 应用程序的代码以查找可能是 sql 注入点的模式?
例如,它应该找到这里列出的任何模式:https://rails-sqli.org/
举个具体的例子,如果这是在应用程序的代码中,扫描仪应该找到它并将其标记为 sql 注入点。
User.find_by params[:id]
我的尝试
我尝试过刹车员 (brakeman -f html -o report.html
) 来检查所有这些:
BasicAuth,BasicAuthTimingAttack,CSrftokenForgeryCVE,ContentTag,CookieSerialization,CreateWith,CrossSiteScripting,DefaultRoutes,Deserialize,DetailedExceptions,DigestDoS,DynamicFinders,EscapeFunction,Evaluation,Execute,FileAccess,Filedisclosure,FilterSkipping,ForgerySetting,HeaderDoS,I18nXSS,JRubyXML,JSONEncoding,JSONEntityEscape,JSONParsing,LinkTo,LinkToHref,MailTo,MassAssignment,MimeTypeDoS,ModelAttrAccessible,modelattributes,ModelSerialize,nestedAttributes,nestedAttributesBypass,NumberToCurrency,PageCachingCVE,PermitAttributes,QuoteTableName,Redirect,RegexDoS,Render,RenderDoS,RenderInline,ResponseSplitting,RouteDoS,sql,sqlCVEs,SSLVerify,SafeBufferManipulation,SanitizeMethods,SelectTag,SelectVulnerability,Send,SendFile,SessionManipulation,SessionSettings,SimpleFormat,SingleQuotes,SkipBeforeFilter,SprocketsPathTraversal,StripTags,SymbolDoSCVE,TemplateInjection,TranslateBug,UnsafeReflection,ValidationRegex,WithoutProtection,XMLDoS,YAMLParsing
问题
有没有办法快速轻松地扫描一些代码以查找潜在的 sql 注入漏洞?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。